Észtország: tájkép hackercsata után

A május 18-i utolsó nagyobb támadó hullám óta viszonylagos béke honol az észt interneten, ahol április vége és a szovjet hősi emlékmű eltávolítása óta az utcai zavargásokkal párhuzamosan valóságos hadiállapot uralkodott. Alig két hét alatt több mint száz túlterheléses támadás érte észt médiacégek, bankok és kormányhivatalos szervereit; volt olyan, ami tíz órán keresztül tartott és 100 Mbps összesített sávszélességen bombázta lekérdezésekkel a célpontot. A támadások hátterében szinte mindenki orosz forrásokat sejtett, sokan egyenesen a kormányt.

Megszólal a szakértő

Gadi Evron, az izraeli CERT (Computer Emergency Response Team, online "hackerellenes kommandó") vezetője, aki a német, szlovén és finn kollégákkal a helyszínen elemezte a támadásokat, a blogjában ír a tanulságokról. Evron szerint a támadás ereje jócskán elmaradt az eddig tapasztalt legsúlyosabb hackertámadásokéhoz, például az idén februárban az internetes szerverhierarchia csúcsán álló root DNS szerverek ellen intézett csapáshoz képest.

Nem a minél nagyobb kár és pánik okozására törekvő cyberterrorista hackerek munkájára utal, hogy a támadás a hálózati forgalmat irányító központi gépek helyett (csupán két rosszul konfigurált router omlott össze) közvetlenül a média és egyes bankok szervereit célozta. A támadók a legegyszerűbb DDOS-technikákat használták, nem volt semmi kifinomult trükk, ami meglepte volna a biztonságtechnikai szakembereket - még a támadó gépek ip-címeit sem álcázták a viszonylag egyszerű spoofing technika segítségével.

Profik és lelkes amatőrök

Az elemzés során kiderült, hogy a támadások jelentős hányada nem zombigépekről érkezett. Az orosz internetes fórumok és blogok tucatjain terjedt a felhívás az Észtország elleni online akcióra, ahol egyben a DDOS-támadáshoz használatos programokat is közzétették. A nagyobb támadó hullámok közti szünetekben valószínűleg ezek az otthoni felhasználók tartották fenn az állandó ostromot, de annyian nem lehettek, hogy a csúcsidőben akár ezerszeresére emelkedő forgalmat ők generálják a kiszemelt szerverek felé.

A zombihálózatok egy részét a szakértők szerint a támadók a hacker-alvilágtól bérelték a támadások legintenzívebb hullámaihoz (május 9-10-én, illetve 18-án). Ez olyan pénzügyi hátteret és kapcsolatokat feltételez, amit felháborodott bloggerek nem képesek nyújtani. Az Asymmetric Threats Contingency Alliance szervezet egyenesen azt állítja, bizonyítéka van rá, hogy a május tizedikei támadáshoz orosz források egy egymillió zombigépből álló botnet-hálózatot béreltek, és az invázió azért ért véget olyan furcsán és hirtelen, mert egyszerűen lejárt a támadáshoz használt gépek bérleti ideje.

Ki a támadó?

"A XXI. században élünk, ma a háborút már nem csak tankokkal és tüzérséggel vívják" - nyilatkozott James Appathurai, a NATO szóvivője a BBC-nek; ennél konkrétabb célzás azonban nem történt arra, hogy a támadás katonai akció lett volna. Andrus Ansip észt miniszterelnök néhány hete még leplezetlenül az orosz kormányt vádolta a támadásokkal, most azonban már Moszkva segítségét kéri a nyomozáshoz.

Az észt Postimees hírportál azt állítja, a Nashi nevű, Putyinhoz szorosan kötődő radikális ifjúsági szervezet áll a támadások mögött; ezt a Nashi egyik magas rangú tagja is megerősítette a Vedomosti nevű észt lapnak. A százezer fősre becsült mozgalom egyébként több tüntetést és megmozdulás is szervezett a szobor eltávolítása ellen, a leglátványosabb az volt, amikor megzavarták az észt nagykövetnek az esettel kapcsolatban tartott sajtótájékoztatóját.

A helyszínről jelentjük

Tallinban élő olvasónk emailben számolt be az észt helyzetről (ami rögtön alátámasztja, hogy az internet azért működik Észtországban). Az alábbiakban a vele készült interjút olvashatják.

Miben lehetett és lehet ma az online támadás hatásait érezni átlagos otthoni internethasználat mellett?

Az online támadás hatását egy átlagos felhasználó maximum két napig érzékelte. A tüntetés éjszakáján, amikor valóban a média (TV, újság, bankok, minisztériumi oldalak) oldalai elérhetetlenné váltak, mivel túlterhelték a szervereket. A következő éjszakán is lehetett ezt érezni, de ideiglenessé vált. Egy-két órás kimaradásokról tudok a Hanspank szerverén és az Ühispanknál, de ezeket is gyorsan javították. Az észt fél a támadásokat Oroszországból észlelte, így az orosz szerverekről nem lehetett a banki oldalakhoz hozzáférni, és ezzel meg is szűnt a probléma.

Hogyan reagált a támadásra az észt internetes közösség?

Ahogy az emberek általában szoktak: mindenféleképpen. A fórumokon elkezdték ezt tárgyalni, de elég szabad szájú az ember, he nem kell az arcát mutatni, így szerintem ezt felesleges is firtatni. A közvélemény nem értett ezzel egyet és a felső körökben inkább azzal próbálkoztak, hogy a külföldi, nyugati médiát az észtek mellé állítsák. Ahogy az várható volt, a YouTube-ra is került fel oroszok által kirakott képes összefoglaló, ami úgyszintén nem jó színben tüntette fel az észteket - természetesen egy éjszaka képei összevagdosva.

Mennyire érezhető Észtországban "digitális pánik", ahogy a New York Times fogalmazott?

Digitális pánikról nem tudok semmit. Nem hallottam, nem tapasztaltam. A zűrös napokban is mindenhol lehetett kártyával fizetni, egész nap internettel dolgoztunk, napközben utaltam internetetn keresztül pénzt. Ismerősök között sem éreztem semmi pánikot. Lehet, hogy a szerverfenntartók körében volt pánik, de ez az egyszerű felhasználóig nem jut el.

Lehet ma normálisan internetezni Észtországban? Mennek az online banki átutalások, a webáruházak, a támadás alatt álló hírportálok? Mi volt a helyzet támadás legsúlyosabb napjaiban?

Észtország 70 százaléka internettel fedett. A legkisebb boltokban, benzinkutakban is lehet internetezni. A kártyával való fizetés kb. 20 másodperc. A fővárosban és a nagyobb városokban majdnem minden bárban lehet ingyen netezni, ha valaki viszi a laptopját. Vidéken egy 800 fős faluban otthon van internetünk, négyfajta net közül lehet választani; a lakásban wifi van. Mindez nem változott a támadás során sem. A kártyával való fizetés és banki átutalások működtek, a mi cégünknél az online vásárlás is. Csak ideiglenes kimaradásról lehet beszélni. Persze egy biztos: az átlag felhasználónál a pánik csak annyit jelent, hogy dühös, mivel a szolgáltatásért fizet, viszont a kívánt oldalt nem tudja elérni.

Mindenképpen túlzásnak érzem a "háború" kifejezést. Szerintem nagyobb volt a riadalom, mert ilyen még nem történt - pláne, mivel úgy tűnik, hogy Oroszország áll a háttérben. Megpróbáltam végiggondolni egy valódi cyberháborút, de nem így képzelem el.